Donde guardo mis ideas

Carlos Coronado Maleno

Detectar intrusiones en el servidor con Tripwire

Carlos Coronado 9 - agosto - 2018 Sin comentarios

Tripwire es un popular monitor de archivos enfocado en la detección de intrusos. El software es capaz de monitorizar múltiples archivos y directorios para detectar intrusiones y cambios no autorizados en ellos.

Instalación

Lo primero que haremos será instalar el software

sudo apt-get update
sudo apt-get install tripwire

Después de instalar, nos irá haciendo varias preguntas, debemos responder con:

  • «internet site»
  • «yes»
  • «yes»
  • …..

Y por último las claves para proteger las configuraciones:

  • site key: Esta clave es usada para proteger los archivos de configuración. No perdáis esta clave o la modifiquéis porque si no no podréis volver a actualizar la configuración o los perfiles. Esta clave puede ser usada en múltiples servidores.
  • local key: Esta clave es usada solo en 1 servidor y es sirve para ejecutar los escaneos (para no poder usar el software sin autorización de otros usuarios).

Para iniciar la base de datos ejecutamos

sudo tripwire --init

Para realizar un escaneo:

sudo sh -c 'tripwire --check | grep Filename > test_results'
o podemos añadirlo a crontab con:
@weekly /usr/sbin/tripwire --check | mail nuestro@correo.com -s "TripWire log status"

Con esto podremos ver cada vez que se ejecute un informe de los archivos que han cambiado

Cambiar los arhivos a monitorizar

Como las configuraciones se guardan encriptadas para poder cambiarlas antes hay que exportarlas a texto plano. Para ello ejecutamos:

sudo sh -c 'twadmin --print-polfile > /etc/tripwire/twpol.txt'

Esto genera el archivo «/etc/tripwire/twpol.txt» que podemos modificar. Una vez con los cambios nuevos lo guardamos con:

sudo twadmin -m P /etc/tripwire/twpol.txt
o
tripwire --update-policy twpol.txt

Aquí nos pedirán las 2 contraseñas con las que registramos el servidor.

Si por algún motivo nos aparece este error:

### Warning: Policy Update Changed Object.
### An object has been changed since the database was last updated.

Lo podemos solucionar con el flag «secure-mode»:

tripwire -m p --secure-mode low /etc/tripwire/policy.txt

 

Espero que os sirva!

pd. Con la ayuda de DigitalOcean

Desarrollador de aplicaciones.
Consultor tecnológico.

Facebook Twitter LinkedIn Skype  

Categorías: Linux, Software


Política de privacidad

Detectar intrusiones en el servidor con Tripwire

Comparte si te gusta

Deja tu opinión

¿Que te ha parecido el artículo?

(0 opiniones)

Utilizamos "cookies" propias y de terceros para elaborar información estadística y mostrarle publicidad personalizada a través del análisis de su navegación. Si continúa navegando acepta su uso. Puede leer la política de cookies aquí.

ACEPTAR

Hemos detectado que estás usando un bloqueador de publicidad. Por favor, considera desactivarlo en esta web. Aunque no es mucho, la publicidad nos ayuda a paliar los gastos de mantener esta web activa. Muchas gracias

Continuar
No cedemos los datos a terceros, solo lo usamos para enviarte notificaciones cuando publicamos algo nuevo.
No enviamos publicidad.